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(54) Tide: SMART INTCGRATED CIRCUIT 
(54) TItre: CIRCUIT INTEGRE INTELUGENT 
(57) Abstract 

The invention concerns a smart integrated circuit characterised in 
that It has a main processor (1) and an operating system executing a 
main programme (PI) to set up a main process perfomiing tasks, at 
east a secondary processor (2) capable of executing simultaneously at 
least a secondary programme (P2) to constitute a task-performing process 
power circuits (6) common to the processors and means ensuring that the 
secondary process(es) with similar energy and different operating signature 
are carried out simultaneously with the main process by inducing in the 
power circuits, continuously or intermittently, energy distoibances which 
are supeipo^ on those of the main process to produce continuous or 
intermittent data encryption. 

(S7)Abr^g€ 

La pr6sente invention conceme un circuit int6gr6 intelligent. Ce 
circuit int^grf intelligent est caract6ris6 en ce quMl poss6de un processeur 
pnncipa (1) et un systfeme d 'exploitation executant un programme 
pnncipal (PI) pour constituer un processus principal r^alisant des tSches 
au moins un processeur secondaire (2) capable d'exdcuter concurremment 
au moms un programme secondaire (P2) pour constituer au moins un 
processus r6ahsant des tftches. des circuits d'alimentaiion (6) communs 
cntre les processeurs et des moyens penmettant de s'assurcr que le 
ou les processus secondaires d'6nergie similaire et de signature de 
fonctionnement diff^rente. s'effectuent concurremment avec le processus 
principal en induisant dans les circuits d'alimentation, de facon continue 
ou intermittente. des perturbations €nerg6liques qui se superposent ^ cclle 
du processus principal pour r6aliser un brouiUage continu ou intemiittent. 
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"CIRCUIT INTEGRE INTELLIGENT" 

II est connu que les microprocesseurs ou les microcalculateurs ou des 
5 circuits integres intelligents executent sequentiellement des instructions d'.un 
programme enregistr6 dans une memoire, en synchronisme avec un ou 
plusieurs signaux de cadencement references par rapport a des stgnaux 
d'horloge foumis au microprocesseur ou au microcalculateur ou au circuit 
int^grS soit en interne soit en externe. Par circuit int^gr^ intelligent on 
10 comprend un circuit integre comportant des circuits specifiques et Itmites a 
('execution d'un nombre restreint d'instructions ou de fonctionnalit^s pour 
lesquels ils ont ete specifiquement devetopp^s. 

II s'est avere possible de tracer ies differentes phases de cette 
execution de programme en fonction du temps puisque Texecution des 

15 instructions s'effectue sequentiellement suivant un processus pr^d^termin^ par 
ce programme, en general en synchronisme avec les signaux d'horloge qui 
cadencent regulierement le processeur. En effet, tout programme se traduit par 
une suite d'instructions qui doivent etre executees successivement dans un 
ordre connu a I'avance, les instants de debut et de fin de chaque instruction 

20 etant parfaitement connus car elle s'execute suivant un processus 
pr&d^termtn^ qui, pour des moyens d'analyse sophistiqu&s, poss^de ce que 
i'on peut appeler une " signature " reconnaissable. Il est connu que cette 
signature du processus peut, par exemple, etre obtenue § partir des signaux de 
mesure des Energies consommees par les diff^rents circuits electriques qui 

25 sont mis en oeuvre par instruction ou la siequence d'instructions executee. II 
est done en principe possible de connaitre la nature de la sequence 
d'instructions qui s'execute a un moment donne dans Tunite de traitement du 
processeur puisque le programme qui se deroule est constitue de cette suite 
predetermin^e d'instructions dont la signature est connue. 

30 On peut arriver par de tels moyens a determiner quelle est {'instruction 
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particuliere qui s*execute ainsi que les donnees utilisees par cette Instruction. 

Cette possibilite de pouvoir observer les details de deroulement d'un 
programme dans un microprocesseur ou un microcalculateur est un 
inconvenient majeur lorsque ce microprocesseur ou microcalculateur est utilise 
5 dans des applications de haute s^curite. En effet, un individu mal intentionn^ 
pourrait ainsi connaitre les etats successife dans lesqueis se trouve le 
processeur et tirer parti de ces informations pour connaTtre certains resultats 
sensibles de traitement interne. 

On peut imaginer, par exemple, qu'une action donn^e putsse se 
10 produire a des instants diff^rents en fonction du resultat d'une operation 
s^curitaire determin§e, tel que le test d'une information confidentreile interne ou 
le dechiffrement d'un message, ou encore le controle d'integrite de certaines 
informations. Selon Tinstant considere, on pourrait, par exemple agir sur le 
processeur, ou obtenir la vaieur de certains registres par investigation 
15 physique, afin d'obtenir des renseignements sur le resultat ou sur le contenu 
confidentiel de information, et ceci meme dans le cas de caiculs 
cryptographiques sur la cle secrete de chiffrement utilisee. 

II est connu des dispositifs qui apportent un premier perfectionnent aux 
microcalcuiateurs securises en les dotant de circuits qui generent des 
20 impulsions d'horloge aleatoires. De cette maniere, les. investigations rendent 
particuiierement difficile I'observation des evenements, puisque leur 
synchronisation devient vite impraticable et la survenance d'un evenement 
devient difficilement pr^visible. 

Dependant, ce type de solution presente de nombreux inconvenients. 

25 .Tout d'abord, la conception de tels circuits est particuiierement delicate 

et fastidieuse car il n'est pas possible de simuler un fonctionnement al^atoire 
dans ia totality d'un circuit aussi complexe qu'un microcalculateur et encore 
plus difficile de tester ces circuits en fin de fabrication dans leur comportement 
brouilie. Une suite aleatoire d'impulsions d'horioge est, en effet, tres difficile a 
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simuler pour la mise au point des circuits, mais il est encore^ plus difficile de 
maTtriser toiis les comportements de I'ensemble des circuits logiques du 
processeur. notamment pendant ies periodes de commutation ides signaux sur 
les bus internes et dans les registres. 
5 II est aussi connu un autre dispositif qui introdullt une nouvelle 

architecture basee sur I'utillsation d'une memoire trompe-l'oeil utilis6e ou non 
par le microprocesseur de fa^ori totalement desynchronisee par rapport au 
milieu exterieur. De cette maniere, I'observation des ev6nements et des 
signatures est rendue particulierement difficile. 

10 Cependant, I'utillsation d'une horloge ateatoire ou d'une m^itiolre 

trompe-l'oeil, meme si elles apportent des perfectionnements int6ressants, ne 
modifie pas le comportement de base du microprocesseur qui est toujours 
s6quentiel, mdme si les instructions qui se succedent font partie de processus 
differents. II reste done th^oriquement possible de " filtrer " les mauvaises 

15 instructions pour ne conserver que les bonnes et ainsi tirer parti des 
informations 6manant du microprocesseur. 

Un autre inconvenient reside dans le fait que I'on doit sauvegarder les 
contextes d'execution des programmes interrompus par des sequences 
trompe-roeil et les r6tablir, ce qui necessite pour cette sauvegarde des 

20 ressources memoires non n^giigeables. 

C'est un des buts de I'invention que de doter le circuit int6gr§ intelligent 
de moyens interdisant le type d'investlgation decrit plus haut. et plus 
g^neralement d'empecher toute interpretation des signaux provenant du 
processeur pu de I'unit6 de traitement principale. Ce type de circuit est appele 

25 "MUMIC" (Multl Untraceable Microcomputer). 

Ce but est atteint par le fait que le circuit int§gr6 Intelligent possede un 
processeur principal et un systeme d'exploitation executant un programme 
principal pour constituer un processus principal r^alisant des taches, au moins 
un processeur secondaire capable d'executer concurremmment au moins un 
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programme secondaire pour constituer au moins un processus reallsant des 
taches. des circuits d'alimentation communs entre les processeurs et des 
moyens permettant de s'assurer que le ou les processus secondaires d'energie 
similaire et de signature de fonctionnement differente, s'effectuent 
5 concurremment avec le processus principal en induisant dans les circuits 
d'alimentation. de fa^on continue ou intermittente, des perturbations 
energetiques qui se superposent ^ celles du processus principal pour realiser 
un brouillage continu ou intermittent. 

Selon une autre particularite, les processeurs principaux ou 
10 secondaires sont chacun un microprocesseur ou microcalculateur securise. 

Selon une autre particularite, I'activation de ces moyens est dSclenchee 
par le systeme d'exploitation du processeur principal (1) du circuit integre 
intelligent, de telle sorte que la securite supplementaire cre^e par les moyens 
ci-dessus ne depend que d'une decision resultant de Texecution par le 
15 processeur principal du systfeme d'exploitation situe dans un endroit du circuit 
integre inaccessible de Texterieur. 

Selon une autre particularite, le circuit integre intelligent possdde une 
memoire principale. dediee au processeur principal, contenant le systeme 
d'exploitation dans au moins une partie de celle-ci inaccessible de I'exterieur et 
20 accessible par au moins un des deux processeurs et une memoire secondaire 
respectivement dediee au processeur secondaire. 

Selon une autre particularite, le circuit integre intelligent possede au 
moins un busde communication entre les processeurs, leurs memoires 
respectives et un circuit d'entree sortie. 

25 Selon une autre particularite, le circuit integre intelligent est realis6 d 

I'aide de circuits logiques disperses sur le ou les substrats de fa^on que 
rimplantation physique des deux processeurs soit r^alis^ sans blocs 
fonctionnels facilement reperables. par exemple par imbrication physique mais 
avec une organisation logique separee. 
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Selon une autre particularite, le processeur second^ire execute des 

taches du processus secondaire qui minimisent ou annulent les signatures de 

I 

fonctionnement du processeur principal. ' 

Selon une autre particularite. le processeur secondaire execute des 
taches du processus secondaire correlees a celles du processus principal 
execute par le processeur principal de fagon telle que les resultats 
intermediaires de traitement n'apparaissent jamais au cours du processus. 

Selon une autre particularite, le programme secondaire utilise un 
espace de travail plus petit que celui du programme principal. 

Un second but de Tlnvention est de faire en sorte que le processus 
principal ne puisse fonctionner que si le processus secondaire est op6rationnel. 

Ce second but est atteint par le fait que le circuit int6gre Intelligent 
possede des moyens de communication entre le processeur principal et le 
processeur secondaire. 

15 Selon une autre particularite, les moyens de communication entre les 

deux processeurs permettent au processeur principal de savoir si le processeur 
secondaire est operationnel ou non. 

Selon une autre particularite, les moyens de communication entre les 
deux processeurs permettent au processeur principal de realiser une 
20 authentification du processeur secondaire. 

Selon une autre particularite, le test d'authentification ou de 
fonctionnement du processeur secondaire est realise en cours de traitement 
par le processeur principal. 

Selon une autre particularity, le moyen deactivation du processeur 
25 secondaire est conimand6 soit par le processeur principal et son programme 
principal, soit par un systeme d'interruption. soit par un compteur de temps, soit 
encore par une combinaison des trois 



BNSDOCID: <WO 0039660A1 J_> 



wo 00/39660 PCT/FR99/03275- 



Un troisleme but de invention est de faire en sorte que le processus 
secondaire mette en oeuvre un programme qui est totalement different du 
programme principal. 

Ce troisieme but est atteint par le fait que le processeur secondaire 
5 execute des taches du processus secondaire sans correlation avec celles du 
processus principal executees par le processeur principal. 

Selon une autre particularite, le processeur secondaire execute des 
taches du processus secondaire qui minimisent ou annulent les signatures de 
fonctionnement du processeur principal. 

10 Un quatrieme but de {'invention est que le programme secondaire utilise 

un programme dont la signature induit des effets opposes a ceux emanant du 
processeur principal. 

Ce quatrieme but est atteint par le fait que le programme secondaire 
met en oeuvre un processus correle au processus principal, de telle fa^on que 
15 ia combinaison des deux processus fournisse une signature de fonctionnement 
du processeur secondaire qui dissimuie celle du processeur principal. 

Selon une autre particularite, le processeur secondaire execute des 
taches correlees a celles du processeur principal de faQon telle que les 
resuitats intermediaires de traitement n'apparaissent jamais au cours du 
20 processus. 

Un cinqui^me but de Tinvention est de realiser une architecture 
originale en utiiisant des circuits vaiid^s, sans avoir besoin de cr^er une 
nouvelle technologie de semi-conducteurs ou de nouveaux precedes de 
fabrication. 

25 Ce cinquieme but est atteint par le fait que le processeur secondaire 

peut se substituer au processeur principal et reciproquement. 

Selon une autre particularite, le processeur secondaire execute des 
taches correlees a celles du processeur principal par synchronisation des 
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processus et comparaisoh de valeurs de deux donnees provenant chacune du 
processeur respectif executant son programme respectif . 

Selon une autre particularite. le processeur secondaire execute des 
taches correl6es a celles du processeur principal par deduction logique du 
5 programme secondaire a partir du programme principal. 

Selon une autre particularit6, le circuit integr6 intelligent comporte au 
moins deux processeurs et chacun des processeurspossede un bus respectif 
auxquels sont reliees les memoires vives, mortes pour chaque processeur et 
non volatile pour le processeur principal 

10 Selon une autre particularity, le circuit integr6 Intelligent comporte une 

pluralite de processeurs dont chacun est relie § un seul et mSme bus de 
communication multiplexe entre les processeurs et un ensemble de m6moire 
Vive, morte et non volatile relie a ce bus, les conflits d'acces a ce bus commun 
etant geres par un circuit d'arbitrage. 

15 Selon une autre particularity, le processeur secondaire execute 

successivement et dans nMmporte quel ordre, soit des programmes correl6s, 
soit des programmes sans correlation avec ceux executes par le processeur 
principal. 

D'autres particularites et avantages de invention apparaTtront plus 
20 clairement d la lumiere de la description qui va suivre, faite en reference aux 
dessins annexes dans lesquels : 

- la figure 1 represente un schema iogique d'un mode de realisation du 
circuit integre de Tinvention a deux processeurs avec chacun leur bus ; 

- la figure 2a represente un exemple de realisation d'un circuit de 
25 communication entre deux processeurs du circuit ; 

- la figure 2b represente la structure d'une trame utilisee dans la 
communication entre les deux processeurs du circuit ; 
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- ia figure 3 represente un schema d'un mode de cealisation du circuit 
integre de I'invention a deux processeurs avec un seul bus ; 

- la figure 4 represente un schema d'un mode de realisation d'une 
protection par synchronisation et comparaison de deux valeurs de donnees 

5 provenant de chaque processeur ; 

- ia figure 5 represente un exempie de realisation d'une memoire 
double ports accessible sur chaque port par un processeur du circuit ; 

- la figure 6 represente schematiquement un mode d'impiantation 
physique des elements du circuit selon I'invention ; 

10 . - la figure 7 represente le mode d'iniplantation traditionnel des elements 
d'un circuit a deux processeurs. 

Le circuit integre intelligent objet de {'invention est appele MUMIC (Multi 
Untraceable Microcomputer) et une premiere variante de sa constitution 
iogique va etre explicitee en liaison avec la figure 1. Cette constitution logique 

15 n'est pas representative de la constitution physique ou de I'implantation 
topologique, comme on le verra par ia suite. Ce circuit integre intelligent est 
constitue d'un processeur principal (1) et d*un processeur secondaire (2), 
chacun des processeurs etant connects par son bus de communication 
(Adresses, Donnees et commandes) respectif (3,4) a des memoires 

20 respectlves (12,13,22) contenant le programme principal (PI) et le programme 
secondaire (P2) a executer par chacun des processeurs respect'ife principal (1) 
et secondaire (2), et des registres de travail , tels que, par exempie. des 
memoires volatiles RAM (11,21). Les memoires reliees au processeur 
secondaire sont des memoires " trompe Toeil " vive (DumRAM 21) et morte 

25 (DumROM 22) qui permettent au processeur secondaire (2) d'ex^cuter des 
taches se superposant d celles du processeur principal (1). Le systeme 
d'exploitation du processeur principal est, par exempie, contenu dans une 
partie inaccessible de I'exterieur de la memoire morte (12), mais accessible par 
au moins un des deux processeurs. Chaque processeur (1, 2) possede son 
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propre sequenceur (19. respectivement 20). Le circuit integre|selon Tinvention 
comporte egalement un circuit d'entree sortie (14) relie. d'une part au bus 
unique ou au bus du processeur principal lorsque le circuit est realist selon une 
variante a plusieurs bus et d'autre part, par exemple par des contacts ou un 

5 dispositif de liaison sans contact au monde exterieur pour recevoir les signaux 
d'un terminal. Un ensemble de registres (R1, R2. R3) et un circuit d'interruption 
(15) peuvent etre rajoutes au processeur qui en a besoin pour la mise en 
oeuvre d'une des variantes de fonctionnement correspondant a une variante de 
realisation decrite ci-apres. Les trols elements (R1. R2. R3) sont relies a un 

10 circuit de generation d'interruptlon (15) lequel est branch^ sur les entrees 
d'Interruption du processeur (en Toccurrence le principal). 

Le systeme d'exploitation du processeur principal (1) est unique dans le 
cas d'une variante processeur principal maitre processeur secondaire esclave 
et se trouve dispose dans la memoire morte (12) accessible par le processeur 

15 principal. Lorsque cela est necessalre pour ies variantes ou les processeurs 
peuvent avoir leurs roles echang6s, un deuxi^me systeme d'exploitation ou le 
m&me systSme d'expioitation peuvent etre rendus accessible au processeur 
secondaire. par exemple par un echange de jeton de droit d'acces et un 
controie de ce droit d'acces avant que le processeur ne passe la main a Tautre. 

20 De meme un circuit d'interruption peut etre rajoute a chaque processeur qui en 
a besoin pour le role qu'il doit jouer, en particulier dans le cas de T^hange de 
rdie ou dans la variante de realisation de la figure 2a. 

Le programme principal (PI) est contenu dans la memoire non volatile 
(13) et Tutilisation des memoires trompe-roeil correspond a celle decrite dans la 
25 demande de brevet fran^ais publiee sous le numero FR 2 765 361 , en tenant 
compte du fait qu'il peut y avoir simultaneity d'execution entre au moins deux 
processeurs du circuit integre intelligent. Dans un tel cas, les deux types de 
memoires (trompe Toeil et les autres) sont exploitees pendant les memes 
p^riodes, ceci mSme si le bus est en reality multiplex^. 
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Le circuit integre comporte egalement une interface d'entree sortie 
reliee a au moins un bus du circuit integre, cette interface pouvant etre du type 
soit paralleie/parallele, soit parallele/ serie. Dans une variante de realisation, la 
memoire vive de travail RAM (11) du processeur principal (1) peut etre 
5 fuslonnee avec la m^nnoire vive trompe-roeir (21 DumRAM) du processeur 
secondaire (2) pour former une seule et meme memoire double ports comme 
represente figure 5. Ces memoires double ports, vive (11-21)) utiiisent une 
paire de registres d'adresse (110, 210), pour recevoir les signaux d*adresse 
(ADDO. ADD1) et permettre Tacces par le processeur principal (1), 

10 respectivement secondaire (2). Ces memoires double ports, vive (11-21), 
utiiisent egalement une premiere paire (111, 211) de registres de donn6es pour 
permettre Tacces en lecture de donnee par le processeur principal (1), 
respectivement secondaire (2). Les sorties des registres de donnee de lecture 
sont relives ^ des amplificateurs (113, 213) qui dSlivrent les signaux de 

15 donn^es (DO, D1). Enfin ces memoires double ports, vive (11-21) utiiisent 
egalement une seconde paire (112, 212), de registres de donnee pour 
permettre Tacces en Scriture de donnees par le processeur principal (1), 
respectivement secondaire (2). Ce type d'architecture memoire double ports est 
disponible chez des fournisseurs tels que Motorola ou Texas Instrument Les 

20 memoires double ports , synchrones ou asynchrones, permettent d'acceder, 
par deux voies distinctes, ^ une zone d'adresse memoire, en lecture ou en 
Venture. Elles sont utilisees, en particuiier, pour regler des processus de 
synchronisation entre systemes distincts. L'utilisation de la m6moire double 
ports pour synchroniser des processus repose sur le feit que les processeurs 

25 peuvent acceder a la memoire par deux voies independantes (adresse et 
donnees) de maniere synchrone ou asynchrone et partager des donnees qui 
peuvent etre utilisees simultanement. 

Les deux processeurs (1,2), leur bus (3,4) et leur memoires 
(11,21;12, 13,22) sont alimentes par des circuits communs d'alimentation (6) de 
30 fagon a reduire au maximum la distinction entre les appels energetiques de Tun 
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ou l"autre processeur. Avec le progres des technologies du semi-conducteur, il 
est en effet possible aujourd'hui d'adjoindre sur une mSnne puce deux 
processeurs qui n'occupent que quelques mm2 et done d'obtenir une solution 
6cqnomiquement viable, le surcout du deuxidme processeur deivenant tres 

5 faible, surtout si on le compare aux surfaces occupees par les nri6moires vives 
(RAM) et non volatiles progranamables (NVM). II est propose d'utiliser des outils 
de placement et de routage qui permettraient de fusidnner les processeurs 
dans un seul et unique bloc de conception (design), Habituellement, Thomme 
de metier, s'il a a implanter deux processeurs sur un meme substrat avec des 

10 m6moires vives. mortes et non volatiles programmables, va chercher le 
regroupement des fonctlons ainsi que le chenriin optimum et le respect des 
contraintes de timing. Cecl va I'amener d adopter une architecture et une 
implantation qui sera tres proche de celle representee a la figure 7, dans 
laquelle les deux processeurs (CPU1. CPU2) sont implantes ^ proximite Tun de 

15 rautre, le circuit d'horloge (H) a proximite des processeurs, les circuits 
peripheriques (14) constituant les entrees sorties sont egalement adjacents des 
processeurs, ainsi que ce que i'on appelle en terme de metier ia "glue" logique 
G1, qui est un ensemble d'6l<§ments logiques necessaires au fonctionnement 
du circuit integre. Les autres elements constituant les m^moires vives RAM 

20 (11et 21), morte ROM (12 et 22) et NVM non volatile programmable (13) seront 
disposes tout autour. Une particularite de invention reside dans le fait que les 
operateurs logiques. arithmetiques. ainsi que les fonctions de controles seraient 
m^lang^s, au niveau des portes ou cellules elementaires, les uns aux autres 
afin que Ton ne puisse determiner, a priori, Templacement physique d'une 

25 cellule appartenant a une fonction. Ainsi chaque processeur serait morcel§ en 
un certain nombre d*6lements representes par des carres ou deS rectangles sur 
la figure 6. Ces Elements pourront etre implantes au milieu d'autres 
representes, par cercles et constituant les circuits d'horloge ou au milieu des 
elements hexagonaux constituant la "glue" logique ou encore au milieu des 

30 elements de forme trapezoTdale constituant les circuits peripheriques ou enfin 
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au milieu d'une combinaison de ces elements, comme represente figure 6. 
L'implantation physique des circuits des deux prcjcesseurs sera 
avantageusement realisee en utilisant une telle topologie completement 
banalisee sans blocs physiques fonctionnels facilement refierables comme 
5 c'est le cas habitueliement, Une telle topologie est utilisee dans les circuits 
"Gate Arrays" dont chaque cellule de la matrice peut contrlbuer d la realisation 
de nMmporte quelle fonctlon. De cette maniere. les deux processeurs (1,2) 
peuvent etre physiquement imbrlqu6s. malgre une organisation logique 
separee, a tel point que deux transistors adjacents peuvent appartenir soit ^ 

10 Tun, soit a Tautre des processeurs ou de leurs circuits associes. Ceci est rendu 
possible par le fait que la classe de circuit a laquelle s'adresse le domaine de la 
carte d microprocesseur n'impose pas des performances 6levees en terme de 
cycle d'horloge. Ce mode dimplantation des circuits est done particuli6rement 
^vorable a assurer la security de Pensembie. Bien entendu, la realisation de 

15 tels circuits n^cesslte un trace automatique assists par ordlnateur pour assurer 
un routage correct des signaux et une maitrise des fonctionnallt6s. On con9oit 
done que les consommations de chaque bloc fonctionnel sont parfaitement 
imbriquees et se comblnent completement 

En outre, les deux processeurs peuvent communlquer, soit par 

20 I'intemiediaire d'une liaison speciflque, soit par un jeu (50, 51, figure 2a) de 
registres de communication connectes aux bus (3,4), soit encore par vol de 
cycle sur le bus de I'autre processeur, sort encore par une logique d'arbitrage, 
dans le cas d'un bus partage entre les deux processeurs, comme represente 
figure 3. 

25 La figure 2a represente, par exemple, une liaison utilisant deux 

registres (50.51) fonctionnant en mode interruption a Talde des circuits de 
detection (B1,B2). mais on peut aussi utiliser un registre double acces (5) avec 
un protocole voisin de celui utilise dans les cartes a puces, c'est-a-dire dans 
lequel le processeur principal (1) est le maitre. Dans I'exemple de realisation 

30 selon la figure 2a, un premier registre (50) assure la liaison entre le bus (3) du 
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processeur principal (1) et celui (4) du processeur secondaire (2), tandis qu'un 
second registre (51) assure la liaison dans Tautre sens. Chacun des premier 
(50), respectivement second (51), registres est muni d'une premiere bascule 
(B1). respectivement seconde bascule (B2), de memorisation qui passe a I'etat 

5 actif lorsqu'une infomiation a ete postee dans le registre correspondant La 
sortie de la premiere bascule (B1) est relive au syst6me d'ihterruption du 
processeur secondaire (2). tandis que celle de la seconde bascule (82) est 
reliee au systeme d'interruption du processeur principal (1). La taille des 
registres est suffisante pour contenir les demandes et les reponses de chacun 

10 des processeurs. La figure 2b represente la structure d'une trame avec un en- 
tSte, un champ de donnees et un champ permettant de detecter les erreurs, 
Chaque trame peut constituer soit un bloc d'informations (bloc I), soit un bloc 
d'acquittement (bloc A), chacun de ces blocs pouvant etre transmis dans les 
deux sens Uen-t§te peut etre constitue de deux octets, le premier donnant le 

15 numero du bloc et le deuxieme la longueur. Lorsqu'un bloc est post6 dans le 
premier registre (50). la bascule produit un signal qui est interprets comme une 
interruption IT1 par le processeur secondaire (2), lui permettant ainsi d'etre 
prevenu qu'un message a sa destination est present dans le premier registre 
(50). Le processeur secondaire (2) peut done saisir le bloc en lisant le contenu 

20 du premier registre (50), puis acquitter la reception du bloc par un bloc 
d'acquittement (bloc A) poste dans le second registre (51) d destination du 
processeur principal (1) avec le meme num6ro. Ce precede est connu pour 
permettre notamment le chamage des blocs, bien que ceci ne soit pas 
absolument necessaire dans le cadre de cette invention. Dans chaque bloc 

25 d'informations, le champ d'informations peut etre lui-meme divise en deux 
parties : un champ de commandes et un chanrip de donnees. Le champ de 
commande permet ainsi au processeur principal d'envoyer des instructions au 
processeur secondaire. Par exemple, on trouvera, sans que la liste soit 
limitative, les commandes suivantes: lecture. 6criture. verification d'une donn6e, 

30 authentification. Lorsqu'une commande est re9ue par le processeur secondaire 
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(2), ce dernier acquitte ia reception de cette commande par un bloc 
d'acquittement (bloc A) poste dans le second registre ^51) et traite la 
commande en question avant de poster une reponse dans le second registre 
(51) sous forme d'un bloc d'informations (bloc I). La receptiorl de ce bloc sera 
5 acquittee par le processeur principal (1), par un bloc d'acquittement post^ dans 
le premier registre (50) et ainsi de suite. La num6rotation des' blocs permet de 
r^p^ter des blocs de donnees mai transmis ou regus. Bien entendu. le 
protocole, pour echanger des informations entre le processeur principal et le 
processeur secondaire, peut etre utilise en sens inverse . 

10 Les deux programmes (P1. P2) s'executent respectivement dans le 

processeur principal (1) et secondaire (2) de telle sorte que deux instructions 
s'executent simultanement il est egalement possible de d^caier les phases de 
rhorioge pilotant le processeur secondaire (2) de fagon que les cycles 
d'instructions ne se correspondent pas exactement dans chacun des 

15 processeurs. Les decalages peuvent en outre etre rendus variables et 
aleatoires, ce qui se traduira par des superpositions de cycles d'instructions 
§galement variables. Ces decalages peuvent etre engendres par le sequenceur 
(20) du processeur secondaire (2). 

Une solution avantageuse et Sconomique consiste a utiliser une 
20 memoire "trompe-roeil" vive (DumRAM 21) de tres petite taille pour la memoire 
"trompe-roeil" du processeur secondaire (2). En effet, cette memoire ne jouant 
aucun role reellement fonctionnel, on peut restreindre son espace adressable 
afin qu'elle tienne le minimum de place sur la puce. Get espace peut 
correspondre, par exemple, a simplement ajouter une ou plusieurs lignes de 
25 m6moire RAM dans la matrice de la memoire vive ; cet espace ayant ses 
propres registres d'adresse et de donnees. 

On peut iaisser fonctionner le processeur secondaire (2) en 
pemianence. mais il est preferable de disposer d'un canal de communication 
entre les deux processeurs qui peut etre avantageusement utilise pour activer 



BNSDOCID: <WO 003966QA1 J_> 



wo 00/39660 



15 



PCT/FR99/03275 



le processeur secondaire (2) et/ou pour signaler au processeur )3rincipal (1) que 
ie processeur secondaire (2) est operationnel et/ou execute , reeliement des 
taches. Les processeurs possedent au moins deux Stats : actif ou inactif. Par 
exemple. Tetat actif correspond ['execution d'une suite d'dperations diverses 
5 et I'etat inactif peut etre realise par une boucle d'attente ne contenant aucune 
operation. Le passage d'un etat a I'autre s'effectue par un mecanisme de 
communication entre les processeurs. Par exemple, le processeur principal 
peut activer un processeur secondaire inactif en envoyant une interruption S 
celui-ci. Dans les variantes de realisation mettant en oeuvre le mecanisme 

10 d'activation les processeurs disposent chacun, soit d'une ligne d*interruption d 
destination d'au moins un autre processeur, soit d'une ligne de reset. En effet 
une autre fagon non preferentielle de reaiiser le passage de I'etat activ6 S I'etat 
desactive peut consister a maintenir un signal de reinitialisation (reset) a 
destination du processeur qui doit etre desactive et a le supprimer iorsque le 

15 processeur passe a I'etat active. Les moyens d'activation sont done les moyens 
qui permettent ^ un processeur de faire passer I'autre de I'etat active a I'etat 
dSsactivS et inversement 

Ceci peut se faire soit piar un mecanisme d'authentification entre les 
deux processeurs, soit par un mecanisme de test de registre d'activite. Le 
20 mecanisme d'authentification est declenche a la demande du processeur 
principal (1), ou periodiquement, ou encore aleatoirement. DSs que le 
processeur principal (1) detecte une anomalie au cours de rauthentification, il 
peut stopper tout traitement, ou se mettre dans une boucle d'attente. 

Pour ce faire. on peut utiliser un fonctionnement de ce type en mode 
25 interruption. Lors de Tinterruption generee, par exemple, par I'anomalie 
dStectee au niveau du processeur principal (1), un dialogue s'engage entre les 
deux processeurs pour reaiiser une authentification pilotee par le processeur 
principal (1). Cette authentification consiste, par exemple, ^ faire chiffrer par le 
processeur principal (1) une donnee sur la base d'une cle stockee dans une 
30 zone secrete d'une memoire non volatile programmable (13, NVM) connectee 
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au bus (3) du processeur principal (1). La donnee chiffree est envoySe au 
processeur secondaire (2) par le canal de communication et ce dernier la 
dechiffre puis renvoie le resultat au processeur principal (1) qui compare le 
resultat du dechiffrement a la donnee. Si le resultat est correct, le processeur 
5 principal (1) peut continuer a travailler, sinon ii entre dans une boucle d'attente 
en attendant la prochaine authentification. Ces mecanismes sont connus et ne 
posent pas de probleme particuiier d Thomme de I'art. 

Le processeur principal (1) peut aussi venir tester un registre d'activite 
dans la memoire vive *trompe-roeil" (DumRAM. 22) du processeur secondaire 
10 (2) et constater que ce registre est bien modifte a chaque test Si ce registre 
n'est pas modifie, le processeur principal peut suspendre son activity de fagon 
similaire a la precedente. 

Dans une variante, il est possible d'utiliser pour programme secondaire 
(P2), la copie d'une partie queiconque du programme principal (P1) en pointant 
15 au depart sur une adresse au hasard et/ou en operant sur des donn^es 
difTerentes de celles du programme principal. On aura ainsi I'assurance que ce 
programme executera des instructions plausibles mais inutiles au plan 
fonctionnel. 

On peut egalement faire executer au processeur secondaire (2) un 
20 programme correle a celui qui est execute par le processeur principal de fagon 
telle que les r^sultats intermediaires de traitement n'apparaissent jamais au 
cours de Texecution. Supposons, par exemple, que Ton veuille dissimuler le 
resultat d'une operation F en faisant executer respectivement par chacun des 
processeurs deux fonctions f1 et f2 differentes de F mais choisies de telle sorte 
25 que le resultat de F puisse etre obtenu par une fonction g combinant ces deux 
fonctions differentes de telle fagon que F = g (f 1 .f2). 

Pour eviter Tintroduction d'erreurs dans le code et/ou les donnSes de la 
carte et permettre egalement d'effectuer des attaques contre ia carte ci puce 
(differential fault analysis, DFA) il est propose d'implanter des programmes 
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« intoi^rants aux fautes ». Cette introduction d'erreurs se fait notamment par 
des modifications instantan6es de I'alimentation et/ou de I'horloge (power/clock 
glitch). Dans I'exemple ci-desisous (un programme de communication 
hypothetique), I'attaquant chercherait a modifier le comportemerit du 
5 branchement conditionnei (llgne 3) ou du decrement (ligne 6) afin de recevoir 
des donnees au-dela de la zone memoire normalement prevue 
(answer_address + answerjength) : 



1 


b = answer_address 


2 


a = answer_length 


3 


if (a == 0) goto 8 


4 


transmit (*b) 


5 


b = b+ 1 


6 


a = a- 1 


7 


goto 3 


8 





Ces programmes « IntolSrants aux fautes » (c'est-^-dire capables de 
detecter des fautes) pour cartes a puce, ont par definition des tdches 
redondantes qui sont executees sur les processeurs (CPU) d'une carte 
muitiprocesseur. 

I A certains points de "synchronisation" realises par un 'Verrou" materiel 

ou logiciel, tel qu'un compteur physique ou togique decr6ment6, ainsi qu'une 
instruction atomique de type transfert ("swap", "read-modify-write", connues par 
retat de I'art). I'accord des tSches redondantes sur t'ex^cution du programme 
est verifie par le ou les processus principaux. 

i Un disaccord est cohsid6r6 par le processeur ayant probed^ ^ la 

verification comme signe d'une attaque. L'introductlon par un fraudeur 
d'erreurs dans le code de la carte devient alors beaucoup plus complexe du fait 
de ces verifications. Dans I'exemple ci-dessus, I'attaquant devrait parvenir a 
modifier le comportement de deux (ou plusieurs) taches de fa^on identique. ce 
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qui paraTt pratiquement impossible (impracticable). 

En pratique, on cherchera a securiser I'integrite des dqnnees "critiques" 
du programme. Pour les variables, cette securisation peut se faire par 
duplication en memotre. Chaque processeur (CPU) possede ^lors ses propres 
5 copies des variables en question qui sont stockees dans une memoire 
reellement fonctionnelle et non pas de type trompe-roeil. Dans notre exemple 
hypothetique, le decrement de la variable "a" (compteur de boucle) peut etre 
protegee par la sequence d'instructions ci-dessous qui est executee par 
chacun des processeurs : 
10 6 a = a - 1 

6' SYNCHRONISATION DES PROCESSEURS 
6" if (a* != a) goto attack 



Ou "a' " est une copie de la variable "a" utilisee par le deuxi^me 
15 processeur et dans le cas ou "a" est different de "a* " le programme se branche 
sur la routine de traitement denomm^ "attack" qui prend les mesures 
necessaires pour proteger la carte. 

Par exemple, suite a la detection d'une attaque. il y a branchement a 
retiquette (label) "attack" et la routine de traitement "attack" executera les 
20 operations adequates, telles que la reinitialisation (Reset) des 
microprocesseurs et/ou Teffacement des cl^s en memoire non volatile 
programmable, par exemple du type E^PROM. 

On notera qu'il est egalement possible de securiser directement le 
controle de flux. c*est-a-dire le deroulement du programme. La donn6e critique 
25 s6curisee est alors le compteur ordinal des processeurs (ou une autre 
information iiee au compteur ordinal si les processeurs n'executent pas le 
meme code). AprSs chaque branchement (conditionnel ou inconditionnel) que 
Ton veut securiser, il faut que les taches redondantes comparent i'information 
sur la direction que les branchements respectifs ont pris. Dans I'exemple 
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hypothetique donne ci-dessus, le branchement conditionnel bn ligne 3 peut 

alors etre securise par echange et comparaison du comptevir ordinal ou de 

I 

rinformation correspondante en lignes 4 et 8. 

Les operations d'echange et de comparaison peuvent etre realisees, 

5 solt en logiciel (de fa9on similaire d la sequence d'instructions 6 - 6" decrite ci- 
dessus), soit en materiel par uh comparateur (8) tel que celu'i de la figure 4 qui 
est actionn6 par un signal resultant de rop6ration de synchronisation et delivre 
sur son entree de validation (80). Le comparateur (8) re9oit egalement sur ses 
autres entrees (81, 82) les signaux representatifs des valeurs des compteurs 

10 ordinaux (PC. PC) respectifs a chaque processeur principal (1) et secondaire 
(2). 

En cas d'attaque, le comparateur nriateriel (8) declenchera par le signal 
(attack interrupt) emis sur sa sortie (83), le traitement d'une inten-uption 
effectuant alors les operations adequates au travers du mecanisme 
15 d'interruption des microprocesseurs (exemple: Reset interrupt). 

On pourrait §tre tente de dire que ces mecanismes s'apparentent d 
Tex^cution classique de programmes dans un systeme ^ deux processeurs, 
mais les mecanismes de I'invention sont tr§s differents: 

* Les deux processeurs sont alimentes par les memes circuits, de 
20 fa9on a melanger les differentes consommations instantanees des deux 

processeurs et de leurs circuits assocjes. lis peuvent etre situ§s sur le meme 
substrat de siliclum. 

* Les signatures des instructions utilisees dans le processeur 
secondaire sont de nature a dissimuler Teffet des signatures des instructions 

25 executees dans le processeur princtpai 

* Le but du programme secondaire est d'executer des fonctlons 
differentes du programme principal mais qui occultent celles de ce programme 
principal. On peut ainsi considerer un processus secondaire executant des 
taches sans aucune correlation avec le programme principal, voire meme 
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incoherentes ou, au contraire, faire realiser des tdches parall^les au processus 
principal qui sont correlees a ces dernieres dans le but de les dissimuler. 

* La taille de la memoire vive "trompe-roeil" peut souvent etre 
beaucoup plus petite que ceile necessaire au deroulement normal d'un 

5 programme. 

* Le processeur principal n*execute un programme sensible au sens de 
la securite que si le processeur secondaire est authentifie et/ou s'il est actif. 

* le contenu de la memoire vive "trompe-roeil" n'a pas d'importance 
fonctionnelle car elie ne sert qu'd brouiller les pistes dans la consommation 

10 energetique de Tensemble des m^moires. 

* il n'est pas necessaire de sauver et de restaurer les contextes des 
programmes secondaires 

Dans une autre variante de realisation, le processeur principal (1) active 
un compteur de temps (timer) (R3) initialise soit a Taide du generateur aleatoire 
15 (R1), soit a partir du contenu de la memoire non volatile programmable (13, 
NVM). Cette memoire non volatile programmable (13) peut en effet contenir un 
nombre unique modifie a chaque utilisation. Quand le compteur de temps (R3) 
arrive a Scheance au bout d'un temps imprevisible de I'ext^rieur, 11 declenche 
une authentification du processeur secondaire (2) par le processeur principal 

20 (1). 

Dans une autre variante de realisation le registre (R2) peut, aprds avoir 
^te charge par des informations particulieres (par exemple venant d'une 
memoire ou du generateur aleatoire (R1)), etre utilise pour declencher une 
interruption. 

25 Dans une autre variante de realisation, un generateur aleatoire (R1) est 

relie au syst^me d'interruption (15) du microprocesseur principal (1) de fagon a 
engendrer des interruptions irregulieres et completement desynchronisees par 
rapport a I'execution des programmes dans le processeur principal (1). Bien 
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entendu, le systeme d'interruptlon peirt §tre masquable ou norii en fonction du 
traitement consid6re. Dans ce cas, si I'interruption es\ masqu6e, le 
fonctionnement de Pensemble est classique en monoprocesseur, mais des que 
le programme principal (P1) en cours veut se proteger contre d'6ventuelles 
5 observations, il autorise cette interruption qui declenche Tauthentification et 
i'activation du processeur secondaire (2). 

Dans une autre variante de realisation a bus commun partage entre au 
moins deux processeurs, par exemple n, chaque processeur (la, 1b,...,1n, 
fig. 3) est reli6 li une logique d'arbitrage centralisee (8) par trois types de lignes, 

10 un premier requite de bus (31) (Bus Request), un second bus occupe (32) 
(Bus Busy ) et un troisi6me scrutation de bus (33) (Bus Polling) du bus 
commun (3) . Les deux premiers types, requite (31) et occupe (32) sont 
constltuSs respectivement d'une seule ligne commune d tous les processeurs, 
tandis que le dernier type, scrutation (33) est une ligne ihdividuelie 

15 (33a,33b,...,33n) a chacun des n processeurs (la, lb In). L'ensemble des 

processeurs se partagent au travers du bus unique (3) la memoires vive (RAM), 
la memoire mbrte (ROM), la memoire non volatile programmable (NVM) et le 
circuit d'entree sortie (I/O). 

Un processeur (par exemple, la) souhaitant acquerir le bus (3) indique 
20 ce souhait sur la ligne de requite de bus (31). L'arbitre (8) interroge les autres 

processeurs (lb In) d'apr^s un algorithme bien d6tennin6 (exemple: 

interrogation cyclique. scrutation de bus) sur les lignes de type scrutation 
(33b,. ...33n) correspondant aux processeurs interroges. Le premier processeur 
interrog6 qui en avait fait la demande acquiert le bus et active la ligne bus 
25 occupy (32) ( Bus Busy ). L'arbitre (8) ne reprend I'interrogation qu'une fois le 
bus (3) Iib6r^ par le passage du signal transmis sur la ligne bus occupe (32) de 
I'etat actif d I'Stat inactif. On comprend done que, les processeurs sont 
connectes sur un seul et meme bus, dont lis se partagent les acc^s en 
multiplexanf ces acc^s dans le temps. 
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Bien entendu, il est possible de combiner les effets des modes de 
realisation precedents et il n'est pas n6cessaire que le brouillage sort r6alis6 de 
fagon continue. 

Ainsi, lorsque le programme principal (P1) execute des fonctions non 

5 sensibles sur le plan s6curitaire, le brouillage realise par I'invention peut §tre 
rendu intemirttent en ayant recours de fagon intermrttente au fonctionnement 
monoprocesseur. par exemple, pour d6livrer des resultats au monde ext6rieur, 
a des fins de test, ou encore masquer les interruptions du compteur de temps 
(R3) ou du generateur aleatoire. Des qu'une fonction securitaire est mise en 

10 oeuvre. le programme principal (P1) autorise le fonctionnement du processeur 
secondaire (2) afin de "brouiller" le fonctionnement 

En fait, la security ne provlent plus du fait que le processeur est 
cadenc6 aleatoirement comme dans I'art anterieur, mais se sftue au niveau de 
Kexecution simultanee de deux programmes (P1.P2) de signatures differentes 

15 par deux processeurs (1 .2) alimentes par les memes sources d'energle. 

L'organisation des programmes execut(§s par le processeur principal (1) 
peut etre realisee de telle manidre que le fonctionnement du processeur 
principal sort pilote par un veritable systdme d'exploitation s6currtaire qui decide 
du type de brouillage a mettre en oeuvre en fonction du type de programme 

20 execute par la machine. Dans ce cas, c'est le syst6me d'explortation du 
processeur principal (1) qui gdre comme bon lui semble les divers signaux de 
commande du processeur secondaire (2). II est 6galement clair que ie 
programme secondaire (P2) peut 6tre utilis6 pour r6aliser des fonctions utiles 
au programme principal (P1). notamment des trartements qui peuvent acc6l6rer 

25 le temps de traitement global. Ces traitements peuvent §tre constitu6s . par 
exemple. par des preparations de calculs effectu6s par le programme 
secondaire mais utilises ulterieurement par le programme principal (P1). Bien 
entendu, on peut facilement g6n6raliser les mecanismes de I'invention lorsque 
le processeur fonctionne en multiprogrammation, les programmes d'application 
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pouvant alors etre consideres comme autant de programmes principaux. 

Le generateur ai^atoire et le compteur de temps vus plus haut ne 
posent pas de problemes particuliers de realisation et soht connus de I'homme 
de I'art iorsqu'ils sont utilises separement pour d'autres usages n'ayant aucun 
5 lien avec I'invention. 

Dans une autre variante il est possible de r^aiiser rinventibn de telle 
sorte que les deux processeurs puissent altemativement jouer le rdle de 
processeur principal et de processeur secondaire. Cela suppose qu'un jeton de 
priorite soit echange entre les deux processeurs pour conf^rer celul des deux 
10 qui le detient le role de maitre ^ un instant donne. 

D'autres modifications font egalement partle de I'esprit de I'invention. 
Les variantes d§crites avec un mode de realisation limits a deux processeurs 
peuvent egalement s'appliquer a des modes de realisation d plusieurs 
processeurs et font partie de I'invention. Ainsi, ^ tout moment dans la 
15 description le temne memoire morte doit etre compris comme 6tant une ROM 
mais peut etre remplac§ par une PROM, EPROM, EEPROM ou encore tout 
autre type de memoire noh volatile programmable, morte ou vive. 
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REVENDICATIONS 

1. Circuit integre intelligent, caracterise en ce qu'il possede un 
processeur principal (1) et un systeme d'exploitation executant un programme 

5 principal (P1) pour constituer un processus principal realisant des taches, au 
moins un processeur secondaire (2) capable d'executer concurremment au 
moins un programme secondaire (P2) pour constituer au moins un processus 
realisant des taches, des circuits d*alimentation (6) communs entre les 
processeurs et des moyens permettant de s'assurer que le ou les processus 

10 secondaires d'energie similaire et de signature de fonctionnement differente, 
s'effectuent concurremment avec le processus principal en induisant dans les 
circuits d'alimentation, de fagon continue ou intermittente, des perturbations 
energetiques qui se superposent a ceiles du processus principal pour r^aliser 
un brouillage continu ou intermittent. 

15 2. Circuit integre intelligent selon la revendication 1, caracterise en ce 

que les processeurs principaux ou secondaires sont chacun un 
microprocesseur ou microcalculateur securise. 

3. Circuit integre intelligent selon la revendication 1, caracterise en ce 
que Tactivation de ces moyens est declenchee par le systeme d'exploitation du 

20 processeur principal (1) du circuit int6gre intelligent, de telle sorte que la 
securite supplementaire creee par les moyens ci-dessus ne depend que d'une 
decision resultant de Texecution par le processeur principal du systeme 
d'exploitatfon situe dans un endroit du circuit Integra inaccessible de Texterieur. 

4. Circuit integre intelligent selon la revendication 1, caracterise en ce 
25 qu'il possede une memoire principale (12, 13), dediee au processeur principal 

(1), contenant le systeme d'exploitation dans au moins une partie de celle-ci 
inaccessible de I'exterieur et accessible par au moins un des deux processeurs 
(1, 2) et une memoire secondaire (21,22) respectivement dediee au processeur 
secondaire (2). 
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5. Circuit integre intelligent selon la revendication 1, cfaracteris6 en ce 
qu'il poss&de au moins un bus (3,4) de communication entre |es processeurs, 
leurs memoires respectives et un circuit d'entree sortie 

6. Circuit integre intelligent selon la revendication 1, caracterise en ce 
5 qu'il est realise a I'aide de circuits logiques disperses sur le ou les substrats de 

fa^on que rimplantation physique des deux processeurs soit realisee sans 
blocs fonctionnels facilement reperables, par exemple par imbrication physique 
mats avec une organisation logique separee. 

7. Circuit integre intelligent selon la revendication 1, caracterise en ce 
10 que le processeur secondaire (2) execute des taches du processus secondalre 

qui minimlsent ou annulent les signatures de fonctionnement du processeur 
principal (1). 

8. Circuit integre intelligent selon la revendication 1, caracterise en ce 
que le processeur secondaire (2) execute des taches du processus secondaire 

15 correl^es a celles du processus principal execute par le processeur principal (1) 
de fagon telle que les resultats intermediaires de traitement n*apparaissent 
jamais au cours du processus. 

9. Circuit integre intelligent selon la revendication 1 , caracterise en ce 
que le programme secondaire (P2) utilise un espace de travail plus petit que 

20 ceiui du programme principal (P1). 

10. Circuit integre intelligent selon la revendication 1, caracterise en ce 
qu'il poss^de des moyens de communication entre le processeur principal (1) et 
le processeur secondaire (2). 

11. Circuit integr^ intelligent selon la revendication 1, caracterise en ce 
25 que les moyens de communication (50, 51, B1, B2) entre les deux processeurs 

permettent au processeur principal (1) de savoir si le processeur secondaire (2) 
est operationnel ou non. 

12. Circuit integre intelligent selon la revendication 1, caracterise en ce 
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que les moyens de communication entre les deux processeurs pemiettent au 
processeur principal (1) de reallser une authentification du processeur 
secondaire (2) 

13. Circuit integre intelligent selon la reivendication 1, caracterise en ce 
5 que le test d'authentification ou de fonctionnement du processeur secondaire 

(2) est realise en cours de traitement par le processeur principal (1). 

14. Circuit integre intelligent selon la revendication 1, caracteris6 en ce 
que le moyen d'activation du processeur secondaire (2) est commande solt par 
le processeur principal (1) et son programme principal (PI), soit par un syst^me 

10 d'interruption (15). sort par un compteur de temps (R3), soit encore par une 
combinaison des trois 

15. Circuit integre intelligent seion la revendication 1, caracterise en ce 
que le processeur secondaire (2) execute des taches du processus secondaire 
sans correlation avec celles du processus principal executes par le 

15 processeur principal (1). 

16. Circuit integre intelligent selon la revendication 1, caracterise en ce 
que le processeur secondaire (2) execute des taches du processus secondaire 
qui minimisent ou annulent les signatures de fonctionnement du processeur 
principal (1). 

20 17. Circuit integre intelligent selon la revendication 1, caracterise en ce 

que le programme secondaire (P2) met en oeuvre un processus correle au 
processus principal, de telle fagon que la combinaison des deux processus 
fournisse une signature de fonctionnement du processeur secondaire (2) qui 
dissimule celle du processeur principal (1). 

25 18. Circuit integre intelligent selon la revendication 1, caracterise en ce 

que le processeur secondaire (2) execute des taches correlees a. celles du 
processeur principal (1) de fagon telle que les resultats intermediaires de 
traitement n'apparaissent jamais au cours du processus. 
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19. Circuit int6gr6 intelligent selon la revendicatioh 1, caract6ris6 en ce 
que le processeur secondaire (2) peut se substituer au processeur principal (1) 
et r^ciproquement. 

20. Circuit int6gr6 intelligent selon la revendication 1 , caract6ris6 en ce 
5 que le processeur secondaire (2) execute des tdches corr^l^s ^ celles du 

processeur principal (1) par synchronisation des processus et connparaison de 
valeurs de deux donnees provenant chacune du processeur respectif executant 
son programme respectif. 

21. Circuit integre intelligent selon la revendication 1, caract6ris6 en ce 
10 que le processeur secondaire (2) execute des taches conr^lees ^ celles du 

processeur principal (1) par deduction logique du programme secondaire (P2) ^ 
partirdu programme.principal (P1). 

22. Circuit integre intelligent selon la revendication 1 , caracteris6 en ce 
qu'il comporte au moins deux processeurs et chacun des processeurs (1, 2) 

15 poss^de un bus respectif (3, 4) auxquels sont relives les m6moires vives, 
mortes pour chaque processeur et non volatile pour le processeur principal. 

23 Circuit int6gr6 intelligent selon la revendication 1, caract6ris6 en ce 
qu'il comporte une plurality de processeurs dont chacun est reli6 S un seul et 
meme bus de communication multiplex^ entre les prpcesseurs et un ensemble 
20 de m^moire vive, morte et non volatile relie a ce bus, les conflits d'acc6s ^ ce 
bus commun etant g6res par un circuit d'aii>itrage (8). 

24. Circuit integre intelligent selon la revendication 1, caract6ris6 en ce 
que le processeur secondaire (2) execute successivement et dans n'importe 
quel ordre, soit des programmes correles, soit des programmes sans 
25 correlation avec ceux executes par le processeur principal (1). 
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